我的情况比较特殊,我有一系列 AWS 服务器,它们都安装了 Active Directory(DNS 和许多其他东西),并且是域控制器,我正在尝试迁移所有这些以使用集中式 AD 服务,AWS AD DS。迁移的第一步是在我的其中一台服务器(在本例中是我的开发服务器 - 10.0.0.119)和这项新服务之间建立双向信任。我已遵循这些说明在服务器端(10.0.0.119)建立双向信任,如下所示:
当然它无法连接,因为我需要在 AWS 中进行设置:
这就是我遇到麻烦的地方,当我尝试在 AWS 中设置双向关系时,我似乎无法让它连接到我的服务器,我收到以下错误消息:
无法访问远程域 dev.ebm.com。请确保您的安全组设置正确,并且您的条件转发器配置正确。
我真的不知道为什么,我的配置与我的服务器上指定的配置相匹配(如果我设置单向身份验证或“森林信任”,则会出现同样的错误):
我的两个新 AD DS 服务端点都与我的服务器位于同一子网和 VPC 上:
我可以从我的开发服务器 ping 这两个端口,没有任何问题。我已禁用服务器上的所有防火墙,并且此网络上的 AWS 中没有任何防火墙限制。
没什么大不了的是写关于这个主题。许多帖子都指出要添加IP 路由在添加信任之前覆盖您的服务器。但是该文章和 AWS 界面都指出:
修改目录中的路由表以启用路由到 公共 IP 地址通过您的 VPC。
所以我觉得这不是正确的方向。
我认为我最容易感到困惑的地方是“现有或新的远程域”,我尝试了各种各样的东西,例如服务器名称和域名,我很确定应该与域名相匹配,但我尝试过的所有组合似乎都不起作用。
关于条件转发也有很多讨论,我已经在客户端进行了设置。我还确保在 AWS DC 端配置中包含开发服务器。但似乎没有任何效果。
有谁知道我要说什么吗?